Ik heb de Bluetooth-functie standaard uit staan. Vanwege het extra verbruik van stroom, en ook vanwege de straling. En - en het zou je niet verbazen - vanwege de intrinsieke onveiligheid van alles wat draadloos verbinding kan maken (ook al zit er een veiligheidsmechanisme, zoals een wachtwoord, achter).

Wat voor zin heeft het dat zo'n telefoon de hele dag met van-alles-en-nog-wat verbinding probeert te maken? En trouwens: als ik een speaker aansluit op mijn telefoon, dan doe ik dat altijd bedraad. Dat scheelt namelijk een bak aan batterijverbruik.

Dat kan best nog wel voor veel problemen leveren als je met het OV reist, daar hebben heel veel hun bluetooth aan. Zelf zet ik het alleen aan als ik er gebruik van ga maken. En dat is meestal alleen thuis met een BT speaker. In de auto gebruik ik het niet.

Zal wat zijn als ze in een winkel bv. Mediamarkt daar telefoons/tablets besmetten en die alle bezoekers weer proberen te besmetten. Daar verkopen ze wel wat die geen updates krijgen of nooit gekregen hebben.

De meeste mensen hebben bluetooth altijd aan staan. varierend van mensen die een auto of motor hebben (car kit) of mensen die veel bellen met een headset, mensen met een smart watch, mensen die een anwb verzekeringhebben die hun rijstijl monitoort, mensen die geen zin hebben in elke keer BT uit en aan te zetten, mensen die een gsm met een goede accu hebben (ja, er zijn mensen zonder iphone), mensen met oordopjes vanwege herrie van andere mensen of apparaten.

Je zou maar hoorapparaten hebben die via bluetooth in te stellen zijn, daar zit je dan met je dure controller die je niet kan gebruiken uit angst om gehackt te worden.
Voor velen is Bluetooth een luxe, voor anderen een must. Gelukkig hoef jij daar geen gebruik van te maken.

Gisteren koppelde ik een Apple draadloze toetsenbord aan een Android tablet via Bluetooth.
Vandaag kijk ik als eerste op security.nl...........en dat was dus even schrikken. Patch-niveau was van november vorig jaar en niet van 2020. Daar komt nog bij dat ik het vorige bericht van security.nl over dit probleem volledig gemist heb. Dus mensen van de redactie, bedankt voor de waarschuwing!

Er wordt bij deze actie ondernomen.

Ik ook alles uit wat ik niet gebruik. Over de straling maak ik me geen enkele zorg maar wel over stroomverbruik en veiligheid.


Idem bedrade koptelefoon. Maar weet je dat fabrikanten van moderne telefoons hebben bedacht dat het een goed idee is om de koptelefoonaansluiting weg te laten? Wat haalt men zich in het hoofd? Eerst de verwisselbare accu en nu de koptelefoonaansluiting. Een dergelijke telefoon koop ik uit principe niet!

Stroomverbruik ja, maar de straling heeft NUL negatieve effecten. Het is niet-ioniserende straling en daarmee energiezwakker dan de LED lamp in je slaapkamer.

Androidgebruikers zijn gewaarschuwd voor een ernstig bluetooth-lek en krijgen het advies de functionaliteit uit te schakelen als ze nog geen beveiligingsupdate hebben ontvangen.
-
Nooit dus.
het android patchbeleid is nog ranziger als voedsel wat al 6 maanden over datum is.

oja, CVE van oktober 2019, zouden ze het gefixed ? ,ander zie vorig bericht.

Dat heeft niets met het android patchbeleid te maken, maar met de phone-fabrikant die de updates niet wil uitrollen.
Wel bij de les blijven a.u.b.

Ik ben op zoek geweest naar een workaround, maar wat ik vond was niet echt aantrekkelijk. De enige die ik ben tegengekomen is Bluetooth volledig uitschakelen, zoals aangegeven in de topic geheel bovenaan deze pagina.

Wel is in de Play-store een Bluetooth firewall te vinden (een gratis probeer-versie en een betaalde versie). De gratis versie biedt 35 dagen gratis de mogelijkheid om deze firewall uit te proberen. Nadeel is wel dat de gratis versie advertenties laat zien. Maar wie na het uitproberen de betaalde versie koopt, ziet deze advertenties niet meer. Ook de permissies zijn dan aangepast.

Wie op afstand contact probeert te leggen met je eigen apparaat waar Bluetooth is ingeschakeld zou hiervoor beschermd worden.

Meer info en de links zijn als volgt:
Gratis versie: https://play.google.com/store/apps/details?id=com.fruitmobile.btfirewall.trial
Betaalde versie: https://play.google.com/store/apps/details?id=com.fruitmobile.android.bluetooth.firewall&hl=en

Voordat de patch wordt uitgerold voor het merk smartphone wat je hebt, kun je tot die tijd deze firewall gebruiken.

Let op: ik heb deze App nog niet getest of uitgeprobeerd. Dus het kan zijn dat gebruikers minder goede ervaringen opdoen (dat risico bestaat altijd). Dus het uittesten en uitproberen met de eigen smartphone moet men zelf doen.

Hoe weet je dat die app tegen deze kwetsbaarheid beschermt? Dat hangt af van de vraag waar de kwetsbaarheid precies zit in de hele Bluetooth-afhandeling en of de firewall inhaakt op een punt vóór- of nádat de kwetsbare code wordt geraakt. Je hebt gedetailleerde kennis van zowel de kwetsbaarheid als de manier waarop die firewall onder de motorkap werkt nodig om dat te kunnen beoordelen.

En wat stel je je precies voor bij "testen en uitproberen"? Verwacht je dat een individuele gebruiker een firewall zo gericht kan testen dat die kan bepalen of die bescherming geeft tegen een kwetsbaarheid waarvan de details nog niet eens openbaar zijn gemaakt? Even uitproberen en constateren dat het op het oog lekker werkt bewijst helemaal niets.

https://lineageos.org/
https://e.foundation/?lang=nl

Eh, neem mij niet kwalijk hoor, maar zou u in het vervolg mijn bijdrage even goed willen doorlezen?

Ik heb nergens gezegd dat deze firewall tegen deze kwetsbaarheid beschermt. De reden is, ik heb deze App niet uitgetest, noch geprobeerd (dat heb ik toch duidelijk geschreven in mijn tekst). Ik geef alleen maar een mogelijke oplossing weer (ik zeg duidelijk: mogelijke). Maar wat ik begreep uit de begeleidende tekst van deze App, zou het mogelijk moeten zijn om je tegen inbraakpogingen te weren als Bluetooth gebruikt wordt. Dat althans beweert de bouwer van deze App.

Volgens mij heeft dat alles te maken met het patchbeleid...
Android is een OS, dus waarom zouden updates via de fabrikant van de telefoon moeten lopen?
Ik hoef toch ook niet langs Asus/Lenovo/HP om W10/Linux/FreeBSD te updaten?

Leuk voor nerds die geen ander leven hebben dan in hun hobbykamer dit soort zaken installeren. Wel eens de handleidingen voor nieuwkomers doorgelezen? Gaat echt helemaal nergens over...

Dit soort OS, welke zeker beter zullen zijn dan standaard Android versies, missen één essentieel ding om populair te worden: een redelijk eenvoudige installatie procedure. Gemiste kans in mijn ogen.

Dit heb je gezegd, en dat citeerde ik ook:
Misschien heb je het niet in de gaten, maar als je mensen in deze bewoordingen een advies geeft dan klink je behoorlijk stellig.
Je bent nu een stuk duidelijker dan in de post waarop ik reageerde. Dank daarvoor.

Patchniveau: 2019-09
Sony: Congratulations, your device is up-to-date!

Wat een onzinnige reactie. Dus die mensen die Bluetooth moeten gebruiken hebben er baat bij dat het protocol intrinsiek onveilig is? Nee, dán ben je lekker bezig....

Bluetooth en een hoog batterijverbruik is weer zo'n indianenverhaal, ik merk daar niets van op een iPhone. Als dat bij uw telefoon anders is dan heb je een brakke implementatie.

Volgens Wikipedia mag een Class 2 Bluetooth device 2.5 mW verbruiken, zie https://en.wikipedia.org/wiki/Bluetooth#Uses

Ook de modernere Android telefoons verbruiken niet merkbaar meer als Bluetooth aan staat. Mijn Nokia heeft versie 5.0, A2DP, LE (Low Energy). De hele dag verbonden met een sporthorloge voor meldingen en geen merkbare impact op de batterij.

Patchniveau: 2010-01
Nokia: Congratulations, your device is up to date!

Inruilen die telefoon voor een Android One toestel!

Zo moeilijk is dit niet. Volg deze instructies voor de telefoon, bijvoorbeeld de Samsung Galaxy A7 (2017) (a7y17lte). https://wiki.lineageos.org/devices/a7y17lte/install.

Of topic:

Interessante observatie is dat de makers van smartphones niks op hebben met privacy en beveiliging. Laat staan met de ondersteuning van een prima werkend apparaat voor een duur van 10 jaar. Verder is de smartphone markt een gigantische lock-in ecosysteem. Het liefst verkoopt men nieuwe telefoons om de 6 maanden (de productie is hierop ingericht), want dit is hun feitelijke verdien model. Waarschijnlijk gestoeld op de illusie van onbeperkt groei? Dit is kapitaal vernietiging op mondiale schaal.

Maar goed android is ook niet de oplossing op termijn, misschien doen zij het beter https://puri.sm/products/librem-5/pureos-mobile/. Heeft iemand die security.nl leest zo'n apparaat? Ik ben benieuwd naar de ervaring met dit toestel.

Bluetooth beveiliging is inderdaad een zorgen kindje. Het protocol is leuk om gegevens uitwisseling mogelijk te maken tussen apparaten. Maar beveiliging is niet een sterk punt van dit protocol.

Case voorbeeld: in een parkeer garage met een bluetooth scanner luisteren. Zal je verbazen wat er dan zoal mogelijk is.

Gewoon een buffer foutje. https://android.googlesource.com/platform/system/bt/+/3cb7149d8fed2d7d77ceaa95bf845224c4db3baf

"
GAP: Correct the continuous pkt length in l2cap

L2cap continuous pkt length wrongly calculated in
reassembly logic when remote sends more data
than expected.

Wrong pkt length leading to memory corruption

Hence the Correct the continuous pkt length in
l2cap reassembly logic.
"

Totdat er een patch uitkomt voor jouw apparaat, bluetooth uitzetten. Maar de patches komen eraan.

Info voor de techneuten:
Lineageos: https://github.com/LineageOS/android_system_bt/commit/0cebcc84213f4419f68830ccc1350bfcecab30a9
Android: https://android.googlesource.com/platform/system/bt/+/3cb7149d8fed2d7d77ceaa95bf845224c4db3baf%5E%21/#F0

De ellende met proprietary owned Google Android is nu toch al wel even aan de gang.
Nu weer met de Bluetooth Android Api code.

Het geeft linux open source een slechte naam.
Android in handen van Big Tech IT Monopolies & in handen der grote massa en zie wat er geschiedt.
87% onveilige devices. Met de tijd neemt de onveiligheid omgekeerd evenredig toe.

Zegt u dat iets, beste beveiligingswereld?
Security through obscurity or lack of genuine information.

#sockpuppet

Shocking, bluetooth is erg gemakkelijk, maar ook weinig configureerbaar. Je kan alleen kiezen voor aan of uit en bluetooth aan betekend verbinden met alle reeds bekende bluetooth apparatuur die zich in de nabijheid begeeft.

Probeer voor de gein eens te verbinden met headset achtige bluetooth namen en speel dan een liedje af om te kijken, bv it raining men ofzo, dan weet de drager van de headset zeker dat hij/zij deze niet zelf heeft aangezet & schrikt van de onverwachte muziek.

Wat fijner was geweest is dat je accesoires, headset's, smart devices veel beter kan beheren en identificeren.

Waarom: Ik heb 2 smartphones en 2 smartwatches (1 sport + 1 casual) en nog meer smart dingen waaronder een soundbox, headset en verlichting. Ik hoef niet als ik op mijn telefoon bluetooth aanzet om 1 activiteit / doel te vervullen NONSTOP met alle mogelijke apparatuur verbonden te zijn. Uit veiligheids overwegingen maar ook om accu % te besparen van mijn telefoon en mijn diverse bluetooth devices.

Dit geld ook voor android, wifi aan is wifi aan voor alles, dus meteen whatsapp aan, waarom heeft whatsapp geen uitknop en waarom kun je belletjes en videobelletjes niet op voorhandnblockeren als optie en per persoon zou je dat toch moeten kunnen aanzetten: bericht, media, call, videocall accepteren ja / nee etc. Android, google en apple geven je maar weinig keuze vrijheid.

Auto systemen: wanneer je een paar auto's periodiek / tijdelijk rijdt, dan is bluetooth een drama, bluetooth installeren want auto a of b kan maar 3 gebruikers onthouden en dan moet je er 1 verwijderen, maar welke dan, je kan niet zien wanneer de users voor het laatst verbonden waren dus gooi je er op de gok 1 uit. Allemaal niet zo handig, op je telefoon ook niet, ik heb er 2 en 2 of meer telefoons tegelijkertijd middels bluetooth gebruiken is niet altijd fucntioneel.

Ook wanneer je de bluetooth devices wilt opruimen is dat lastig, weer niets te zien over laatst gebruikt etc. Vaak heeft alles dezelfde naam: Headset, Multimedia, speaker, bv mini1,ini2, mini3 maar welke welke is kun je nergens aan opmaken.

Bluetooth is natuurlijk ook vrij oud en nooit ontwikkeld met de complexe eisen die de connected world nu vragen.

Bluetooth werkt prettig, maar is onvoldoende manage-able en omvoldoende veilig. Ik heb daarom mijn bluetooth (en wifi) steeds vaker uit, vooral op drukkere plekken (OV, airport, winkels, etc) want daar probeert jan en alleman (overheid, bedrijfsleven, adverteerders, etc) je te identificeren en te tracken en stalken. Allemaal mogelijk zonder je medeweten en zonder je toestemming, vraag me af of dat is toegestaan onder de AVG (geen toestemming dus lijkt me niet anders de avg ook waardeloos). Is het niet een vrm van inbreken en dus strafbaar? Mmmm

Patchniveau: 1 February 2020
Samsung: Congratulations, your device is up to date!

Het is echt niet alleen maar kommer en kwel bij Android.

De fabrikanten voegen van alles toe aan Android om hun telefoons een eigen look and feel te geven. Deze toevoegingen moeten aangepast worden als er een Android update uitkomt, en daar hebben de fabrikanten blijkbaar geen zin in. In plaats van updates leveren, verkopen ze liever een nieuw toestel.

Als die toevoegingen een securityupdate van het OS in de weg zitten, dan deugd er dus iets niet met het patch beleid.